Управляемый коммутатор не может быть подключен при подключении к Fortigate 30E

Управляемый коммутатор не может быть подключен при подключении к Fortigate 30E

Я только что купил UniFi US-8 (8-портовый управляемый коммутатор PoE) и пытаюсь настроить его, но контроллер UniFi не может увидеть устройство; контроллер просто говорит: «Устройства не найдены».

Моя текущая сетевая настройка такова:

Модем/маршрутизатор ISP ( 192.168.0.1/24) -> Fortigate 30E ( 192.168.1.1/24) -> Настольный компьютер ( 192.168.1.10/24)

Контроллер UniFi установлен на моем рабочем столе ( 192.168.1.10/24).

Если я уберу Fortigate из уравнения:

  1. Перенастройте модем/маршрутизатор моего интернет-провайдера для работы в 192.168.1.0/24сети
  2. Подключите коммутатор и мой рабочий стол к порту LAN на модеме/маршрутизаторе.

Затем я могу связаться (ping/ssh) с коммутатором со своего рабочего стола ( 192.168.1.10/24), и контроллер, работающий на моем рабочем столе, увидит коммутатор и сможет «принять» его.

Однако если я снова добавлю в уравнение ворота Фортигейта:

  1. Модем/маршрутизатор интернет-провайдера в 192.168.0.0/24сети
  2. Fortigate 30E в 192.168.1.0/24сети (порт WAN подключен к порту LAN на маршрутизаторе интернет-провайдера)
  3. Настольный компьютер и коммутатор подключены к портам LAN на Fortigate

Мой рабочий стол больше не видит коммутатор. Если посмотреть на инвентарь устройств в Fortigate, похоже, что коммутатор получает аренду DHCP для 192.168.1.12/24, но я могу получить доступ к этому адресу, только если подключу ноутбук напрямую к коммутатору и настрою ноутбук для работы в 192.168.1.0/24сети.

Делает ли Fortigate что-то, чтобы заблокировать трафик на коммутатор? Если да, что я могу сделать, чтобы разрешить трафику проходить?

Для справки, вывод команды show system interfaceприведен ниже:

FWF30E********** # show system interface
config system interface
    edit "wan"
        set vdom "root"
        set ip 192.168.0.10 255.255.255.0
        set allowaccess ping https http fgfm
        set type physical
        set scan-botnet-connections block
        set role wan
        set snmp-index 1
    next
    edit "modem"
        set vdom "root"
        set mode pppoe
        set type physical
        set snmp-index 2
    next
    edit "ssl.root"
        set vdom "root"
        set type tunnel
        set alias "SSL VPN interface"
        set snmp-index 3
    next
    edit "wifi"
        set vdom "root"
        set type vap-switch
        set role lan
        set snmp-index 5
    next
    edit "guestwifi"
        set vdom "root"
        set ip 192.168.11.1 255.255.255.0
        set allowaccess ping https ssh http
        set type vap-switch
        set device-identification enable
        set fortiheartbeat enable
        set role lan
        set snmp-index 7
    next
    edit "internal"
        set vdom "root"
        set ip 192.168.1.1 255.255.255.0
        set allowaccess ping https ssh http fgfm capwap
        set broadcast-forward enable
        set type switch
        set device-identification enable
        set fortiheartbeat enable
        set role lan
        set snmp-index 6
    next
    edit "lan"
        set vdom "root"
        set type hard-switch
        set stp enable
        set role lan
        set snmp-index 4
    next
end

решение1

Итак, я думаю, что решил проблему — ниже мои заметки:

Я заметил, что если я перезагружаю брандмауэр, незадолго до того, как он закончит загрузку, коммутатор начинает принимать. Как только брандмауэр заканчивает загрузку, коммутатор теряет соединение. Я также не могу связаться ни с одним другим устройством в моей подсети.

Если я удаляю "lan" из членов "внутреннего" программного коммутатора по умолчанию, коммутатор (все еще имеющий адрес по умолчанию 192.168.1.20/24) подключается к моему рабочему столу (и я могу подключаться к другим устройствам в сети 192.168.1.0/24), но я теряю подключение к Интернету. Брандмауэр автоматически создает новый интерфейс аппаратного коммутатора под названием "lan", состоящий из всех 4 физических интерфейсов LAN в качестве интерфейсов-членов.

Чтобы снова подключиться к брандмауэру с моего настольного компьютера, мне пришлось войти в 192.168.1.99 (IP-адрес брандмауэра) с моего телефона (который находится во внутренней сети Wi-Fi 192.168.1.0/24) и установить новый IP-адрес шлюза "lan" на 192.168.10.99/24, затем настроить мой компьютер на работу в новой подсети (я установил его на 192.168.10.10/24 со шлюзом 192.168.10.99). Но теперь, поскольку мой настольный компьютер находится в другой подсети, я теряю соединение с коммутатором.

Со своего рабочего стола (192.168.10.10/24, шлюз 192.168.10.99) я создал новое правило брандмауэра в "Политике IPv4", чтобы разрешить весь трафик из "lan" в "wan". Это снова подключило меня к Интернету, но, как и ожидалось, я не могу пинговать его или SSH к коммутатору или любым другим хостам в сети 192.168.1.0/24. Я подтвердил это, вернув свой рабочий стол к сети 192.168.1.0/24 (шлюз 192.168.1.99), что отключило мой Интернет, но я снова могу пинговать/SSH к другим хостам в этой подсети, и коммутатор снова подключается.

Учитывая, что коммутатор по умолчанию использует IP-адрес 192.168.1.20/24, если он не получает аренду DHCP, я включил DHCP-сервер для интерфейса «lan», и коммутатору наконец-то был назначен IP-адрес, и он подключился к моему рабочему столу.

Теперь следующая проблема заключалась в том, чтобы выяснить, как разрешить устройствам на «внутреннем» интерфейсе (устройствам Wi-Fi) взаимодействовать с устройствами на «lan» интерфейсе (проводными устройствами). Для этого я настроил 2 политики IPv4: разрешить весь трафик из «lan» во «внутренний» и разрешить весь трафик из «внутреннего» в «lan».

Это решение позволяет достичь желаемого результата, но я не уверен, что это самый безопасный (или «лучший») способ его достижения.

Связанный контент